HIPAAリスク評価は、PHIのプライバシーおよびセキュリティに対する脅威、脅威が発生する可能性、そして各脅威の潜在的影響を評価し、既存の方針・手順・セキュリティ機構が、リスクと脆弱性を合理的かつ適切な水準まで低減するのに十分かどうかを判断できるようにするものです。
対象事業体(covered entities)およびビジネスアソシエイト(business associates)がHIPAAリスク評価を実施する要件は、医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)の「行政簡素化(Administrative Simplification)」規定の中に2回登場します。しかし、組織によっては、これらの要件を超えてリスク評価を実施する必要がある場合があります。
HIPAAリスク評価を実施する最初の要件は、HIPAAセキュリティ規則(45 CFR § 164.308 – セキュリティ管理プロセス)にあります。この基準は、対象事業体およびビジネスアソシエイトに対し、「ePHIの機密性・完全性・可用性に対する潜在的リスクおよび脆弱性の正確かつ徹底した評価」を実施することを求めています。
2つ目の要件は、HIPAA侵害通知規則(45 CFR § 164.402)にあります。この基準が適用されるのは、保護されていないPHI(形式を問わない)の不許可の取得、アクセス、使用、または開示があった場合に限られ、当該事象がHHSおよび影響を受けた個人に通知すべきものかどうかを判断するために、HIPAAリスク評価が必要となります。
しかし、HIPAAセキュリティ規則および侵害通知規則におけるHIPAAリスク評価要件を超えて、PHIが電子形式ではない場合にも、PHIの機密性・完全性・可用性に対するリスクは存在します。たとえば、口頭で不正な開示が行われた場合や、印刷された医療報告書が一般の立ち入り可能な場所に放置された場合などです。
これらのリスクのため、電子形式ではないPHIに対する機密性・完全性・可用性のリスクを考慮するだけでなく、個人のアクセス権(自身のPHIへのアクセス)、ビジネスアソシエイト契約、その他HIPAAの組織要件も対象とする、HIPAAプライバシーリスク評価を実施する必要がある場合があります。
HIPAAセキュリティリスク評価
HIPAAセキュリティリスク評価の目的は、HIPAAセキュリティ規則の管理的・物理的・技術的保護措置に先立つ一般規則(CFR 45 § 164.306)に示されています。目的は次のとおりです。
- 対象事業体またはビジネスアソシエイトが作成、受領、維持、または送信するすべての電子PHIの機密性・完全性・可用性を確保する。
- 当該情報のセキュリティまたは完全性に対して合理的に予見される脅威または危険から保護する。
- 本編のサブパートE(HIPAAプライバシー規則)で許可または要求されていない、当該情報の合理的に予見される使用または開示から保護する。
- 従業員等(workforce)による本サブパート(HIPAAセキュリティ規則)への遵守を確保する。注:これはセキュリティ意識向上トレーニングおよび制裁方針の施行によって達成されます。
HIPAAセキュリティ規則の管理的・物理的・技術的保護措置に関して、一般規則は基準の実装方法における「柔軟なアプローチ」を認めています。柔軟性条項があるとはいえ、実装仕様が「合理的かつ適切」でない場合を除き、すべての基準を実装することが重要であり、その場合は同等の代替措置を代わりに実装しなければなりません。管理的・物理的・技術的な実装仕様の全一覧は次のとおりです。
| 基準 | 条項 | 実装仕様
(R)=必須、(A)=対応可能 |
実装に関する解説 |
|---|---|---|---|
| セキュリティ管理プロセス | 164.308(a)(1) | リスク分析 (R)、リスク管理 (R)、制裁方針 (R)、情報システム活動レビュー (R) | 組織は、ePHIに対する潜在的な脆弱性を特定するために包括的なリスク分析を実施すべきです。是正活動の優先順位を付けたリスク管理戦略を策定し、文書化します。セキュリティ方針に従わない従業員に対して制裁方針を施行し、不正アクセスを検知するためにシステム活動を定期的にレビューするツールを実装します。 |
| セキュリティ責任の割り当て | 164.308(a)(2) | (R) | 組織全体にわたるセキュリティ方針および手順の実装と監督を確実にする責任者として、上級レベルの個人(CISOやプライバシーオフィサーなど)を任命します。この個人は、HIPAA遵守を徹底するための権限とリソースを持つべきです。 |
| 従業員等(ワークフォース)のセキュリティ | 164.308(a)(3) | 認可および/または監督 (A)、ワークフォース適格性確認手順 (A)、退職・離任手順 (A) | ePHIにアクセスするワークフォース構成員を監督する手順を策定し、文書化します。アクセス権を付与する前に従業員を審査し、退職または役割変更時にはアカウントとアクセスを速やかに無効化して、不正アクセスを防止します。 |
| 情報アクセス管理 | 164.308(a)(4) | 医療クリアリングハウス機能の分離 (R)、アクセス認可 (A)、アクセス設定および変更 (A) | ePHIを管理するシステムを分離するための統制を作成します。特に、医療クリアリングハウスがより大きな組織の一部である場合は重要です。職務役割に基づいてユーザーアクセスを付与・変更・削除する手順を定義します。アクセスは定期的に見直し、必要に応じて更新すべきです。 |
| セキュリティ意識向上とトレーニング | 164.308(a)(5) | セキュリティリマインダー (A)、悪意あるソフトウェアからの保護 (A)、ログイン監視 (A)、パスワード管理 (A) | 定期的なセキュリティ更新、フィッシングやマルウェアの脅威に関する認識、不審な活動を見分けるための指示、パスワード管理のベストプラクティスを含む正式なトレーニングプログラムを策定します。トレーニングは文書化し、全従業員に必須とすべきです。 |
| セキュリティインシデント手順 | 164.308(a)(6) | 対応および報告 (R) | セキュリティインシデントを検知・報告・対応する方法を定義した、文書化されたインシデント対応計画を策定し維持します。職員にインシデントの認識方法を教育し、模擬演習を通じて計画をテストして即応性を高めます。 |
| 緊急時対応計画 | 164.308(a)(7) | データバックアップ計画 (R)、災害復旧計画 (R)、緊急モード運用計画 (R)、テストおよび改訂手順 (A)、アプリケーションおよびデータの重要度分析 (A) | 定期的なデータバックアップ、災害復旧手順、緊急モード運用を含む堅牢な緊急時対応計画フレームワークを実装し、診療継続性を確保します。定期的にテストを実施し、結果に基づいて計画を改訂します。データとアプリケーションの重要度を評価して優先順位を付け、復旧作業を効果的に集中させます。 |
| 評価 | 164.308(a)(8) | (R) | 監査、リスク評価、方針レビューを通じて、セキュリティプログラムの有効性を定期的に評価します。評価結果を文書化し、弱点や変化する脅威に対処するために必要に応じて改善を実施します。 |
| ビジネスアソシエイト契約 | 164.308(b)(1) | 書面契約またはその他の取り決め (R) | 貴組織に代わってePHIを取り扱うすべてのベンダーと、ビジネスアソシエイト契約(BAA)を締結します。これらの契約にセキュリティ上の責任を明記し、当該アソシエイトがHIPAA規則の適用を受けることを定めます。 |
| 施設アクセス制御 | 164.310(a)(1) | 緊急時運用 (A)、施設セキュリティ計画 (A)、アクセス制御および検証手順 (A)、保守記録 (A) | ePHIが保管されている施設への物理的アクセスを制御する手順を実装します。これには、施錠、IDバッジの使用、緊急時アクセスの計画が含まれます。保守活動を文書化し、機微な区域に入る前に訪問者や職員をどのように検証するかを管理します。 |
| ワークステーションの使用 | 164.310(b) | (R) | ePHIにアクセスするワークステーションの適切な使用方法を定義します。未承認ソフトウェアの使用やインターネットアクセスを制限し、権限のない者が画面内容を閲覧できない安全な場所にワークステーションを設置します。 |
| ワークステーションのセキュリティ | 164.310(c) | (R) | ケーブルロックの使用、オフィスドアの施錠、ログイン中に端末を放置しないことなどにより、ワークステーションを物理的に保護します。これにより、不正アクセスや改ざんを防止できます。 |
| デバイスおよび媒体の管理 | 164.310(d)(1) | 廃棄 (R)、媒体の再利用 (R)、説明責任 (A)、データバックアップおよび保管 (A) | 紙記録のシュレッダー処理やハードドライブの消去など、ePHIを含む媒体を安全に廃棄するための方針を策定します。説明責任を確保するために媒体追跡システムを維持し、バックアップはオフサイトまたはクラウドに安全に保管します。 |
| アクセス制御 | 164.312(a)(1) | 固有ユーザー識別 (R)、緊急時アクセス手順 (R)、自動ログオフ (A)、暗号化および復号 (A) | ePHIを含むシステムへのアクセスを追跡するため、固有のユーザーIDを割り当てます。必要時に緊急アクセスが可能であることを確保します。放置端末によるリスクを低減するため自動ログオフ方針を設定し、適切な場合には保存時および送信時のデータを暗号化します。 |
| 監査制御 | 164.312(b) | (R) | ログイン試行、ファイルアクセス、変更を含め、ePHIへのすべてのアクセスを追跡・記録するソフトウェアツールを使用します。これらのログを定期的に監査して異常な活動を特定し、潜在的な侵害に対応します。 |
| 完全性 | 164.312(c)(1) | 電子的保護対象保健情報を認証する仕組み (A) | チェックサム、デジタル署名、または同様のツールを使用して、ePHIが不正に改変または破壊されていないことを確保します。信頼性とセキュリティを確保するため、これらの仕組みを定期的に検証します。 |
| 個人または組織の認証 | 164.312(d) | (R) | 強力なパスワード、生体認証、多要素認証などの安全な方法を用いて、ePHIにアクセスする前にユーザーが本人確認を行うことを確保します。認証方針を定期的に更新・見直します。 |
| 送信のセキュリティ | 164.312(e)(1) | 完全性制御 (A)、暗号化 (A) | ePHIを傍受から保護するため、メールやAPI経由で送信されるデータなどの送信を暗号化します。送信中にデータが改変されないことを確保するため、メッセージ認証コードなどの完全性制御を実装します。 |
HIPAAセキュリティ規則の最終セクションは、ビジネスアソシエイト契約およびその他の組織要件を扱います。このセクションは、対象事業体に対し、ビジネスアソシエイト契約において、ビジネスアソシエイトがHIPAAセキュリティ規則を遵守し、あらゆるセキュリティインシデント(データ侵害に限らない)を対象事業体に報告することを要求するよう求めています。組織要件に関しては、45 CFR § 164.314の基準は団体健康保険プランに適用されますが、ハイブリッド、提携、またはOHCAの取り決めにあるすべての対象事業体も、この基準の内容を確認すべきです。
HIPAA侵害リスク評価
2つ目の「必須」HIPAAリスク評価は、実際には任意とも言えます。というのも、HIPAA侵害通知規則では、保護されていないPHIの不許可の取得、アクセス、使用、または開示は、少なくとも次の要因を考慮したリスク評価により侵害の可能性が低いことを示せない限り、侵害であると推定されるからです。
- 侵害されたPHIの性質および範囲(識別子の種類および再識別の可能性を含む)、
- 侵害されたPHIを取得、アクセス、または使用した不正な人物(判明している場合)、または不許可の開示が行われた相手、
- PHIが実際に取得または閲覧されたかどうか(サイバー攻撃における「取得または閲覧」に該当するものを確立するため、ランサムウェアに関するHHSのガイダンスを参照)、
- PHIに対するリスクがどの程度軽減されたか。
HIPAA侵害リスク評価が任意と説明される理由は、対象事業体およびビジネスアソシエイトが、望むならこのHIPAA評価を省略し、PHIの不許可の取得、アクセス、使用、または開示のすべてを通知できるからです。このアプローチの欠点は、HHSの公民権局(Office for Civil Rights)が、貴組織で平均以上のデータ侵害が発生していると感じ、遵守状況のレビューを実施することを決定した場合、業務の混乱を招く可能性があることです。
また、患者やプラン加入者が頻繁に侵害通知を受け取ると、組織が提供するサービス利用者からの信頼を失う原因にもなり得ます。特に、「侵害された」PHIが実際には取得または閲覧されていないにもかかわらず、詐欺、盗難、損失から身を守るための対策を取るよう助言される場合はなおさらです。「任意」とはいえ、避けられる通知を防ぐためにHIPAA侵害リスク評価を実施するのは良い考えとなり得ます。
HIPAAプライバシーリスク評価
リスク評価を実施する要件がHIPAAセキュリティ規則にあるため、多くの対象事業体およびビジネスアソシエイトは、HIPAAプライバシーリスク評価を実施する必要性を見落としています。HIPAAプライバシーリスク評価は、セキュリティリスク評価と同様に重要ですが、組織の規模や事業の性質によっては、はるかに大きな取り組みとなり得ます。
HIPAAプライバシーリスク評価を完了するために、組織はプライバシーオフィサーを任命すべきです。最初の任務は、組織のワークフローを特定し、HIPAAプライバシー規則の要件が組織の運用にどのような影響を与えるかについて「全体像」を把握することです。その後、プライバシーオフィサーは、侵害が起こり得る箇所を特定するためのギャップ分析を実施できるよう、PHIの流れを組織内外でマッピングする必要があります。
HIPAAプライバシーリスク評価の最終段階は、HIPAAプライバシー遵守プログラムの策定と実装であるべきです。このプログラムには、HIPAAプライバシー評価で特定されたPHIへのリスクに対処する方針を含め、新しい業務慣行が導入されたり新しい技術が展開されたりするたびに見直すべきです。
45 CFR § 164.530で求められているとおり、HIPAAプライバシーリスク評価の結果として策定された方針および手順、ならびに方針・手順の重要な変更が従業員の職務に影響する場合には、従業員がそれらについて訓練を受けることが不可欠です。対象事業体およびビジネスアソシエイトは、この要件を「チェックを付けるため」に満たすこともできますが、よりよく訓練されたスタッフはHIPAAのミスが少ないため、HIPAAの方針および手順に関するトレーニングはリスク軽減戦略として積極的に取り入れるべきです。
リスクを特定しないことは高くつく可能性がある
HIPAA不遵守に対する罰金の重さは、歴史的に、PHI侵害の影響を受けた患者数と、関与した過失の程度に依存してきました。現在、最も低い「知らなかった(Did Not Know)」のHIPAA違反区分で罰金が科されることはほとんどありません。PHIを保護する法的要件が存在することを知らないことに、ほとんど言い訳がないためです。
近年では、罰金の大半が「故意の怠慢(Willful Neglect)」のHIPAA違反区分に該当しています。これは、組織がPHIを保護する責任があることを知っていた、または知っているべきだった場合です。最大級の罰金の多く(アドボケイト・ヘルスケア・ネットワークに対して科された550万ドルの罰金を含む 事例 )は、PHIの完全性に対するリスクが存在する箇所を特定できなかったことに起因しています。
しかし、第2回HIPAA監査の開始以降、PHIの潜在的侵害に対しても罰金が科されています。これは、組織のセキュリティ上の欠陥がHIPAAリスク評価で明らかにされなかった場合、または評価がまったく実施されていなかった場合です。2016年3月、 ミネソタ州のNorth Memorial Health Careは150万ドル超 を支払い、関連するHIPAA違反の申し立てを和解しました。
標的になるのは大規模組織だけではない
HIPAA違反に関する見出しの大半は、大規模な医療機関や不遵守に対する高額な罰金に関するものですが、小規模な医療機関も公民権局(OCR)による調査を受けたり、HIPAA監査の対象となったりすることが非常に多くあります。2003年以降、OCRはHIPAA違反の疑いに関する報告を30万件以上受理しています。これらのうち、500人以上に関わるデータ侵害に関するものは2%未満です。
小規模および中規模の医療機関にとっての大きな問題は、すべての保険会社がHIPAA侵害の費用を補償するわけではないことです。HIPAA侵害の費用には罰金だけでなく、侵害を調査するためにIT専門家を雇う費用、社会的信用を回復する費用、個人に対してクレジットモニタリングサービスを提供する費用も含まれます。保険会社は、HIPAA違反の性質や過失の程度に応じて補償を制限する場合もあります。
保険補償がなければ、HIPAA侵害の費用によって小規模な医療機関が閉鎖に追い込まれる可能性があります。しかし、このシナリオは、HIPAAリスク評価を実施し、発見された問題を解決するための措置を講じることで軽減できます。評価は複雑で時間がかかる場合がありますが、代替案は小規模医療機関およびそのビジネスアソシエイトにとって致命的になり得ます。
ビジネスアソシエイトも含めなければならない
PHIを作成、受領、維持、または送信するすべての対象事業体は、HIPAAセキュリティ規則のセキュリティ管理要件に準拠するため、正確かつ徹底したHIPAAリスク評価を実施しなければなりません。このHIPAA遵守条件は、医療施設や健康保険プランに限りません。ビジネスアソシエイト、下請け業者、ベンダーもHIPAAセキュリティリスク評価を実施しなければなりません。対象事業体と同様に、不遵守に対しては、PHIの潜在的侵害に関してOCRがビジネスアソシエイトに罰金を科すことがあります。
OCRはこれらのリスクを深刻に扱っています。2014年12月、同機関は、500件を超える患者記録の露出を伴うHIPAA侵害の40%が、 ビジネスアソシエイトの過失に起因すると明らかにしました。2016年6月には、ビジネスアソシエイトに対する初の罰金を科し、フィラデルフィア大司教区のCatholic Health Care Servicesが、450件の記録の侵害を受けた後、 65万ドルの支払いに同意 しました。この非営利組織は2013年以降、HIPAAリスク評価を実施していませんでした。
近年、ビジネスアソシエイトの不遵守に起因するデータ侵害の割合は減少したように見えるかもしれませんが、必ずしもそうとは限りません。HIPAA侵害通知規則(CFR § 164.410)では、保護されていないPHIの侵害が発生した場合、ビジネスアソシエイトは対象事業体に通知することが求められます。その後、HHSおよび影響を受けた個人に通知する責任は対象事業体にあります。そのため、多くのデータ侵害が対象事業体に起因するものとして記録されていても、実際にはビジネスアソシエイトに過失がある場合があり得ます。
リスク管理計画の策定と新しい手順の実装
HIPAAリスク評価により、組織のセキュリティ上、注意が必要な領域が明らかになるはずです。その後、組織はリスク管理計画を作成し、評価で明らかになった弱点や脆弱性に対処し、必要に応じて新しい手順や方針を実装して、PHI侵害につながる可能性が最も高い脆弱性を解消する必要があります。
各脆弱性に割り当てられたリスクレベルは、どの脆弱性を優先すべきかの指針を組織に与えます。組織はその後、最も重大な脆弱性から先に対処する是正計画を作成できます。是正計画は、必要に応じて新しい手順や方針、そして適切なワークフォース向けトレーニングおよび意識向上プログラムによって補完されるべきです。
OCRは、対象事業体およびビジネスアソシエイトがHIPAA監査に不合格となる最も頻繁な理由は、手順や方針の欠如、または不十分な方針・手順であると指摘しています。HIPAAリスク評価の結果として導入されたワークフローの変更を徹底するためには、適切な手順および方針を実装することが重要です。
HIPAAリスク評価を支援するツール
組織の運用のあらゆる側面についてHIPAAリスク評価を実施することは、規模にかかわらず複雑になり得ます。これは特に、リソースが限られ、HIPAA規制への準拠経験がない小規模医療機関に当てはまります。HIPAAリスク評価の実施の複雑さを軽減するため、2014年にOCRは、HIPAAリスク評価の作成を小規模および中規模の医療機関が行うのを支援する、ダウンロード可能なセキュリティリスク評価(SRA)ツールを公開しました。
SRAツールは、弱点や脆弱性が存在し得る場所の一部を組織が特定するのに非常に役立ちますが、すべてを特定できるわけではありません。ソフトウェアに付属するユーザーガイドでは、文書の冒頭で「SRAツールはHIPAA遵守を保証するものではない」と述べられています。これは、ツールがPHIの機密性・可用性・完全性に関する156の質問で構成されている一方で、リスクレベルの割り当て方法や導入すべき方針・手順に関する提案がないためです。
インターネット上で見つかる他のサードパーティ製ツールにも、ほぼ同じことが当てはまります。これらも弱点や脆弱性の一部を特定する助けにはなりますが、完全に準拠したHIPAAリスク評価を提供するものではない場合があります。実際、多くのサードパーティベンダーは、SRAツールのユーザーガイド冒頭と同様の免責事項を、利用規約の小さな文字で掲載しています。結論として、HIPAAリスク評価を支援するツールは問題の特定には有用ですが、すべての問題に対する解決策を提供する用途には適していません。
HIPAAリスク評価FAQ
リスクは最も一般的にどこで特定されますか?
リスクが最も一般的に特定される場所は、各組織およびその活動の性質によって異なります。たとえば、小規模医療機関は個人的なやり取りを通じた不許可の開示のリスクが高い一方で、大規模な医療グループはクラウドサーバーの設定ミスによりデータ侵害のリスクが高い場合があります。
「合理的に予見される脅威」とは何ですか?
合理的に予見される脅威とは、個人を特定できる健康情報のプライバシー、またはPHIの機密性・完全性・可用性に対する、予見可能なあらゆる脅威を指します。これには外部の悪意ある行為者からの脅威だけでなく、人的ミスや、トレーニング不足による知識不足に起因する脅威も含まれます。これが、合理的に予見される脅威を特定するために、組織のワークフローについて「全体像」を把握することが不可欠である理由です。
リスク評価とリスク分析の違いは何ですか?
リスク評価とリスク分析の違いは、リスク評価がHIPAA遵守に対するリスクを特定するのに対し、リスク分析は脆弱性と影響の組み合わせに対してリスクレベルを割り当てる点にあります。各リスクにリスクレベルを割り当てる目的は、最も損害が大きくなり得るリスクを優先的に対処できるようにすることです。多くのHIPAAリスク分析は、定性的リスクマトリクスを用いて実施されます。
HIPAAセキュリティリスク評価の実施責任者は誰ですか?
HIPAAセキュリティリスク評価の実施責任は通常、 HIPAAコンプライアンスオフィサーにあります。あるいは、HIPAA遵守の責任がHIPAAプライバシーオフィサーとHIPAAセキュリティオフィサーの間で分担されている場合、リスク評価および分析は、特定されたリスクの性質に応じて同僚の支援を受けながら、HIPAAセキュリティオフィサーが実施すべきです。
対象事業体とビジネスアソシエイトでリスク評価の種類は異なりますか?
対象事業体とビジネスアソシエイトでリスク評価の種類が異なることはありません。両者とも、作成、使用、または保管されるあらゆる保護対象保健情報について「AからZまで」のリスク評価を実施する必要があります。ビジネスアソシエイトは対象事業体よりPHIの量が少ない場合がありますが、リスク評価は同じくらい徹底しており、同じくらい十分に文書化されていなければなりません。
HIPAAリスク評価とは何ですか?
HIPAAリスク評価とは、医療保険の携行性と責任に関する法律の行政簡素化規定の対象となる組織が、「セキュリティ管理プロセス」要件に準拠するために完了しなければならないリスク評価です。このHIPAA要件に準拠しなかったとして、非準拠の組織が提訴された事例もあります。
HIPAAリスク評価とHIPAAコンプライアンス評価の違いは何ですか?
HIPAAリスク評価とHIPAAコンプライアンス評価の違いは、HIPAAリスク評価が潜在的な脅威や脆弱性を特定し、その発生可能性を軽減する措置を実装できるようにするのに対し、HIPAAコンプライアンス評価は通常、第三者が実施して、HIPAAプライバシー規則、セキュリティ規則、侵害通知規則に対する組織の遵守状況を評価する点にあります。
なぜインターネット上でHIPAAリスク評価テンプレートが見つからないのですか?
インターネット上でHIPAAリスク評価テンプレートが見つからないのは、対象事業体とビジネスアソシエイトが、規模、複雑性、能力の面で大きく異なり、「万人向け」のHIPAAリスク評価が存在しないためです。変数が多いため、HIPAAリスク評価テンプレートというものは存在しません。もしインターネットからテンプレートを入手したとしても、貴組織が維持するPHIに対する潜在的リスクをすべて含んでいない可能性があるため、注意して扱うべきです。
いつHIPAAリスク評価が必要ですか?
HIPAAリスク評価が必要となるのは2つの場合です。1つ目はHIPAAセキュリティ規則(45 CFR § 164.308 – セキュリティ管理プロセス)にあります。2つ目はHIPAA侵害通知規則(45 CFR § 164.402)に基づくもので、保護されていないPHIの不許可の取得、アクセス、使用、または開示があった場合に適用されます。しかし、組織はこれらの要件よりも頻繁にリスク評価を実施すべきであり、特に非電子PHIおよび組織要件に関連して実施することが望まれます。
HIPAAセキュリティリスク評価の目的は何ですか?
HIPAAセキュリティリスク評価の目的は、対象事業体またはビジネスアソシエイトが作成、受領、維持、または送信するすべての電子PHIの機密性・完全性・可用性に対するリスクを特定することです。リスク評価は外部の脅威だけでなく、悪意ある内部者やセキュリティ意識向上トレーニングの不足に起因する、組織内部の脅威にも焦点を当てるべきです。
HIPAA侵害リスク評価ではどのような要因が考慮されますか?
HIPAA侵害リスク評価で考慮される要因には、侵害されたPHIの性質および範囲、識別子の種類と再識別の可能性、侵害されたPHIにアクセスまたは使用した不正な人物、PHIが実際に取得または閲覧されたかどうか、そしてPHIに対するリスクがどの程度軽減されたかが含まれます。
リスク評価でPHIへのリスクを特定しないと、どのような結果になり得ますか?
リスク評価でPHIへのリスクを特定しないことの結果として、データ侵害または不許可の開示の可能性が高まり、さらにそのような事象の後、徹底したリスク評価を実施しなかったとしてHHSの公民権局から制裁を受ける可能性があります。対象事業体およびビジネスアソシエイトはPHIを保護する責任があることを「知っている、または知っているべき」立場にあるため、徹底したリスク評価を実施しないことに言い訳はない点を認識することが重要です。
HIPAAリスク評価要件はビジネスアソシエイトにも適用されますか?
HIPAAリスク評価要件はビジネスアソシエイトにも適用されます。ビジネスアソシエイトはHIPAAセキュリティ規則および侵害通知規則に準拠することが求められ、HIPAAリスク評価に関する2つのHIPAA基準はこれらの規則に含まれているためです。また、対象事業体のために行う活動の性質が、個人を特定できる健康情報のプライバシーを侵害し得る場合には、HIPAAプライバシー規則のリスク評価を実施することも推奨されます。
組織のHIPAAリスク評価を支援できるツールには何がありますか?
組織のHIPAAリスク評価を支援できるツールには、2014年にHHSの公民権局が公開したダウンロード可能なセキュリティリスク評価(SRA)ツールが含まれます。これは、小規模および中規模の医療機関がHIPAAリスク評価を作成するのを支援するものです。また、サードパーティのコンプライアンス専門家が提供するツールも多数あり、セキュリティリスク評価ツールではカバーされない状況(すなわち、HIPAAプライバシー規則の遵守)における問題の特定に最適です。
翻訳元: https://www.hipaajournal.com/hipaa-risk-assessment/
